Pruefen ob der Rechner infiziert ist

["Silke Schneider" <schneider _at__ zbmed.uni-koeln.de>]

Die Frage ob der Rechner infiziert ist (es geht um den Wurm Badtrans.B) oder
nicht laesst sich meiner Meinung leicht klaeren.

Dazu folgende Angaben (NetworkWorld News-Meldung vom 27.11.2001::
Die trojanische Komponente wird laut BSI als Datei »kdll.dll« im Verzeichnis
\Windows\System abgelegt. Der Wurm selbst kopiere sich als
Datei »kernel32.exe« in das selbe Verzeichnis und registriere sich zudem
unter dem Namen »Kernel32« im System.

Wenn also auf dem eigenen Rechner die Dateien kdll.dll und kernel132.exe
nicht verzeichnet sind, sollte der Rechner meiner Meinung nach nicht
infiziert sein. Gibt es andere Meinungen?

Gruesse aus Koeln
Silke Schneider


_________________________________

Dr. Silke Schneider
Deutsche Zentralbibliothek fuer Medizin
Projekt Virtuelle Fachbibliothek Medizin
Joseph-Stelzmann-Str. 9
D-50931 Koeln

Telefon: 0221-478-7115
Mail: schneider _at__ zbmed.uni-koeln.de
www.zbmed.de



Hier die vollstaaendige NetworkWorld News-Meldung vom 27.11.2001:

Neuer Internetwurm verbreitet sich mit hoher Geschwindigkeit


Der neu entdeckte E-Mail-Wurm »Badtrans.B« verbreitet sich offenbar
schneller im weltweiten Datennetz als bereits bekannte Varianten. »Bei uns
prasseln Virusmeldungen in extremer Höhe ein«, sagt Michael Dickkopf,
Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik [1]
(BSI) in Bonn. So viele Meldungen habe es bei anderen Würmern nicht gegeben.

Badtrans.B, eine Kombination aus Wurm und Trojanischem Pferd, tauchte am 24.
November zum ersten Mal auf. Laut BSI verbreitet er sich per selbst
versendeter E-Mail und installiert ein im Anhang verstecktes Programm auf
den infizierten Computern. Dieser Trojaner
amens »Trojan.PSW.Hooker« zeichne anschließend die Tastatureingaben der
Nutzer auf und versende sie per E-Mail. Vermutlich sollten auf diese Weise
Passwörter der Computernutzer ausgespäht werden. Zu erkennen sei der Wurm an
einem »Re:« in der Betreffzeile der E-Mail, die ansonsten meistens keinen
Text enthalte. Verdächtig ist auch jedes Attachment mit zwei Extensions wie
beispielsweise ».txt.pif«.

Verglichen mit bereits bekannten Würmern ist Badtrans.B offenbar besonders
hartnäckig: Zwar werde er von den meisten Antiviren-Programmen erkannt, so
Michael Dickkopf. Habe er jedoch bereits den Rechner infiziert, lasse er
sich etwa bei den Betriebssystemen Windows 95 und 98 nur noch sehr schwer
entfernen. Dazu müssten Nutzer den Computer im abgesicherten Modus starten
und die entsprechenden Dateien manuell entfernen.

Die trojanische Komponente wird laut BSI als Datei »kdll.dll« im Verzeichnis
\Windows\System abgelegt. Der Wurm selbst kopiere sich als
Datei »kernel32.exe« in das selbe Verzeichnis und registriere sich zudem
unter dem Namen »Kernel32« im System. Erkannt werden könne Badtrans.B auch
am Namen der angehängten Datei, die der Wurm zufällig aus einer Liste
auswähle, so Michael Dickkopf weiter. Unter anderem verwende er etwa die
Wörter »Fun«, »Humor« oder »You_are_fat«.

Internetnutzer können sich Michael Dickkopf zufolge am besten dadurch
schützen, dass sie grundsätzlich keine verdächtigen Attachments öffneten und
ihre Antiviren-Software auf einem aktuellen Stand hielten. Beim
Microsoft-Browser Internet Explorer sollte zudem grundsätzlich die
Autovorschau deaktiviert sein, damit schädliche E-Mail-Attachments sich
nicht automatisch öffnen könnten. Weitere Informationen über BadTrans.B und
den Virenschutz allgemein gibt es auf der Homepage des BSI im Internet:
www.bsi.de [2]. (dpa/afi)